CVE-2024-46538: Unpatched XSS Flaw in pfSense Allows Remote Exploits, PoC Published
2024/11/04 SecurityOnline — pfSense 2.5.2 で発見された XSS (cross-site scripting) の脆弱性を悪用する攻撃者に対して、影響を受けるシステム上での、任意の Web スクリプトや HTML の実行が許される可能性が生じている。この、深刻なセキュリティ・リスクをもたらす脆弱性 CVE-2024-46538 は、人気の高いオープンソースのファイアウォール/ルーター・ソフトウェアの interfaces_groups_edit.php コンポーネントに影響を与えるものであり、発見したのはセキュリティ研究者の physicszq である。
Continue reading “pfSense のXSS 脆弱性 CVE-2024-46538:PoC エクスプロイトが公開”KDE Sets Sights on New Horizons with “Project Banana” Linux Distro
2024/11/04 SecurityOnline — 今年の Akademy カンファレンスで、Plasma デスクトップ環境で有名な KDE コミュニティが発表したのは、“Project Banana” というコード名を持つ、本格的な Linux ディストリビューションの開発に関する情報である。この野心的な取り組みが目指すのは、KDE 開発者/熱心なユーザー/OEM ハードウェア・メーカー向けの、統合プラットフォームの展開である。
Continue reading “KDE の Project Banana:最新テクノロジーで構成される Linux ディストリビューションとは?”Halberd: Your Swiss Army Knife for Multi-Cloud Security Testing
2024/11/04 SecurityOnline — 企業がクラウドに移行するにつれて、多様なクラウド・プラットフォームをまたがる形で、堅牢なセキュリティを維持することが最重要となってきた。以下に紹介するのは、最先端のマルチクラウド・セキュリティ・テストツール Halberd である。このツールは、組織による防御を、積極的に評価するように設計されている。Halberd のユーザー・フレンドリなインターフェイスにより、企業によるシミュレートが可能になるのは、Entra ID/M365/Azure/AWS などにおける実際の攻撃シナリオであり、また、クラウド・セキュリティ検証への一貫したアプローチも提供される。
Continue reading “Halberd はマルチクラウド対応のセキュリティ・テストツール:Entra ID/AWS/M365/Azure をサポート”CVE-2024-43383: Critical Flaw in Apache Lucene.NET Exposes Users to Remote Code Execution
2024/10/31 SecurityOnline — Apache Lucene.NET に存在する、リモート・コード実行の脆弱性が発見された。このバージョンを使用している開発者に対して、強く推奨されるのは、直ちにシステムを更新することだ。新たに発見された脆弱性 CVE-2024-43383 は、Lucene.NET のバージョン 4.8.0-beta00005 ~ 4.8.0-beta00016 に影響を及ぼす。この脆弱性は、Replicator ライブラリがデシリアライゼーションを実行している最中に、信頼できないデータを不適切に処理することに起因している。
Continue reading “Apache Lucene.NET の脆弱性 CVE-2024-43383 がFIX:直ちにアップデートを!”Critical Vulnerability in Waitress WSGI Server: CVE-2024-49768 – What You Need to Know
2024/10/31 SecurityOnline — Python プロジェクトが公表したのは、Waitress WSGI (Web Server Gateway Interface) Server の脆弱性 CVE-2024-49768 (CVSS:9.1) に対処する、セキュリティ・アドバイザリのリリースである。この脆弱性は、Waitress を使用するアプリケーションにおいて、特に安全で安定したパフォーマンスが不可欠な実稼働環境において、きわめて深刻な懸念事項となる。
Continue reading “Python Waitress WSGI Server の脆弱性 CVE-2024-49768 が FIX:知っておくべきことは?”2024/10/30 SecurityOnline — 600 万を超えるアクティブ・インストールを誇る人気の WordPress LiteSpeed Cache プラグインに、深刻なセキュリティ脆弱性が存在することを、Patchstack のセキュリティ研究者 Rafie Muhammad が明らかにした。高度なサーバ・レベルのキャッシュ機能と、WooCommerce/Yoast SEO などのプラグインとの互換性で知られる LiteSpeed Cache に、世界中の WordPress サイトを危険にさらす可能性のある深刻な欠陥が見つかったことになる。
Continue reading “WordPress LiteSpeed Cache の脆弱性 CVE-2024-50550 が FIX:ブルートフォースの可能性”Researchers Uncover Python Package Targeting Crypto Wallets with Malicious Code
2024/10/30 TheHackerNews — 新たな悪意の Python パッケージを発見した Checkmarx によると、それらは、暗号通貨取引ツールを装いながら機密データを盗み足し、被害者の暗号通貨ウォレットから資産を流出させる機能を備えるものだとされる。この CryptoAITools と名付けられたパッケージは、Python Package Index (PyPI) と偽の GitHub リポジトリで配布されたと言われ、PyPI では削除されるまでの間に、1,300 回以上もダウンロードされたという。
Denial-of-Service Vulnerability Found in Squid Proxy Server (CVE-2024-45802)
2024/10/29 SecurityOnline — 先日に Squid プロジェクトが発表したセキュリティ・アドバイザリによると、人気のオープンソースのキャッシュ・プロキシ・サーバである Squid に、サービス拒否 (DoS) の脆弱性 CVE-2024-45802 (CVSS:7.5) が発見されたとのことだ。帯域幅の削減や応答時間の改善といった、効率を向上させるために広く利用される Squid だが、特定のパラメータでコンフィグされた場合おいて、特に Edge Side Includes (ESI) 機能が有効化されている環境では、システムに混乱が生じ、深刻な侵害にいたる可能性があるという。
Continue reading “quid プロキシ・サーバの DoS 脆弱性 CVE-2024-45802(CVSS 7.5) が FIX:直ちにアップデートを!”22,000 CyberPanel Servers Exposed: Zero-Click RCE Vulnerability Discovered, PoC Published
2024/10/29 SecurityOnline — オープンソースの Web ホスティング・コントロールパネルである CyberPanel に存在する深刻な脆弱性が、セキュリティ研究者の DreyAnd により発見された。この脆弱性は、事前に認証されたルート権限で、ゼロクリックによるリモート・コード実行 (RCE) を許すものだが、現時点での最新バージョンである CyberPanel 2.3.6 では修正されていない。そのため、潜在的に数千ものインスタンスが、深刻なセキュリティの脅威に直面する可能性を持つ。
Continue reading “CyberPanel の ゼロクリック RCE 脆弱性:未パッチだが PoC エクスプロイトが公開”CVE-2024-38821 (CVSS 9.1) Allows Authorization Bypass in Spring WebFlux Applications
2024/10/28 SecurityOnline — Spring Security が公開したのは、WebFlux アプリケーションに影響を及ぼす可能性のある、深刻な脆弱性 CVE-2024-38821 (CVSS:9.1) のセキュリティ・アドバイザリである。この脆弱性が悪用されると、特定の条件下において、WebFlux アプリケーション内で認証バイパスが可能になり、静的リソースへの不正アクセスが生じる恐れがある。それにより攻撃者は、アプリケーションのセキュリティを損なう可能性を手にする。
Continue reading “Spring WebFlux の認証バイパスの脆弱性 CVE-2024-38821 が FIX:直ちにアップデートを!”CVE-2023-32197 (CVSS 9.1): Critical RKE2 Flaw Exposes Windows Nodes to Privilege Escalation
2024/10/28 SecurityOnline — 米国連邦政府を含む高セキュリティ環境向けに開発された、Rancher の Kubernetes ディストリビューションである RKE2 に、深刻なセキュリティ脆弱性 CVE-2023-32197 (CVSS:9.1) が発見された。この脆弱性の悪用により、安全が確保されていない ACL (Access Control Lists) を介した機密ファイルへの不正アクセスが許可され、Windows ノード上の RKE2 環境で特権昇格リスクの可能性を生じる。
Continue reading “Rancher RKE2 の脆弱性 CVE-2023-32197 (CVSS:9.1) が FIX:Windows ノードに特権昇格の恐れ”Red Hat Warns of Privilege Escalation Flaw CVE-2024-9050 in NetworkManager-libreswan
2024/10/22 SecurityOnline — Red Hat が発行したのは、NetworkManager-libreswan パッケージに存在する、深刻な脆弱性 CVE-2024-9050 に関する警告である。この脆弱性の悪用に成功したローカル攻撃者は、権限昇格を達成し、ルート権限で任意のコードを実行する可能性を手にする。
Continue reading “Red Hat NetworkManager-libreswan の脆弱性 CVE-2024-9050 が FIX:権限昇格の可能性”OneDev DevOps Platform Patches Critical Security Flaw Exposing Sensitive Data – (CVE-2024-45309)
2024/10/22 SecurityOnline — オープンソース DevOps プラットフォーム OneDev に存在する、深刻なセキュリティ脆弱性 CVE-2024-45309 が発見/修正された。この脆弱性の悪用に成功した未認証の攻撃者は、OneDev サーバ・プロセスを介してアクセスできる、任意のファイルの読み取りを可能にする。それらのファイルとしては想定されるものには、ソース コード/コンフィグ/ユーザー認証情報などがあり、機密情報の漏洩にいたる可能性が生じている。
Continue reading “OneDev の脆弱性 CVE-2024-45309 が FIX:DevOps Platform から機密情報が漏洩する”CVE-2024-45216: Critical Authentication Bypass Vulnerability Patched in Apache Solr
2024/10/16 SecurityOnline — 世界最大級のインターネット・サイトにおいて検索機能を支える、信頼性が高くスケーラブルな検索プラットフォーム でApache Solr に存在する、2つのセキュリティ脆弱性 CVE-2024-45216/CVE-2024-45217 が発見された。これらの脆弱性により、Solr インスタンスを実行している組織に深刻なリスクが発生し、認証バイパスや不正なコード実行の危険へといたる可能性があるという。
Continue reading “Apache Solr の認証バイパスの脆弱性 CVE-2024-45216 が FIX:ただちにをパッチを!”CVE-2024-9312: Ubuntu Authd Flaw Allows User ID Spoofing
2024/10/14 SecurityOnline — 先日に Canonical が発行したのは、世界中の Ubuntu マシンで ID/Access 管理に使用されている、認証デーモンである Authd の脆弱性 CVE-2024-9312 (CVSS:7.6) に対処するセキュリティ・アドバイザリである。Authd バージョン 0.3.6 未満に影響を及ぼす、この脆弱性の悪用に成功した攻撃者は、ユーザー ID を偽装し、ターゲット・アカウントへの不正アクセスの可能性を手にする。
Continue reading “Ubuntu Authd の脆弱性 CVE-2024-9312 が FIX:User ID なりすましが生じる”Jetpack fixes critical information disclosure flaw existing since 2016
2024/10/14 BleepingComputer — 今日になって、WordPress Jetpack がリリースしたのは、深刻な問題に対する重要なセキュリティ・アップデートである。このアップデートでは、サイトにログインしたユーザーが、ビジターにより送信されたフォームにアクセスできるという、脆弱性が修正されている。Jetpack は、Automattic が開発した人気の WordPress プラグインであり、Web サイトを強化する機能と、セキュリティやパフォーマンスを高めるツールを提供している。WordPress によると、この Jetpack プラグインは、2,700 万の Web サイトにインストールされているという。
Continue reading “WordPress の Jetpack に深刻な脆弱性:8年間にわたり発見されず悪用されず・・・”Popular Java Security Framework ‘pac4j’ Vulnerable to RCE (CVE-2023-25581)
2024/10/13 SecurityOnline — 広く利用されている Java セキュリティ・フレームワーク pac4j に存在する深刻な脆弱性が、GitHub Security Lab (GHSL) のセキュリティ研究者 Michael Stepankin (@artsploit) により発見された。この脆弱性 CVE-2023-25581 (CVSS:9.2) の悪用に成功した攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。
Continue reading “Java セキュリティ・フレームワーク “pac4j” の脆弱性 CVE-2023-25581 が FIX:ただちにアップデートを!”CVE-2024-45720: Code Execution Flaw Discovered in Apache Subversion for Windows
2024/10/09 SecurityOnline — Apache Subversion (SVN) に存在する、深刻なセキュリティ脆弱性 CVE-2024-45720 (CVSS:8.2) が発見された。SVN は人気のバージョン・コントロール・システムであり、ソース・コード/Web ページ/ドキュメントの管理において、開発者に広く利用されている。この脆弱性が影響を及ぼすのは Windows プラットフォームであり、コマンド・ライン引数での悪意の挿入により、意図しないプログラムの実行につながる可能性があるという。
Continue reading “Apache Subversion の脆弱性 CVE-2024-45720 が FIX:Windows で問題が発生する理由とは?”Mozilla fixes Firefox zero-day actively exploited in attacks
2024/10/09 BleepingComputer — Mozilla が公表したのは、現時点で攻撃に悪用されている、Firefox の深刻な use-after-free の脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-9680 は、Animations タイムラインにおける use-after-free に起因するものであり、ESET の研究者 Damien Schaeffer により発見されている。このタイプの欠陥は、解放されたメモリがプログラムにより使用される前に発生し、メモリ領域への悪意のデータの注入とコード実行を、攻撃者に許すものである。
Continue reading “Mozilla Firefox ゼロデイ脆弱性 CVE-2024-9680 が FIX:積極的な悪用を観測”PoC Exploit Releases for CVE-2023-52447: A Linux Kernel Flaw Enabling Container Escape
2024/10/07 SecurityOnline — 先日に発見された、Linux Kernel の脆弱性 CVE-2023-52447 (CVSS:7.8) に対する、技術的な詳細と PoC エクスプロイトが、研究者たちにより公開された。この use-after-free 脆弱性は、Linux Kernel のバージョン v5.8〜v6.6 に影響を及ぼし、セキュリティ分離のためにコンテナ化に依存しているシステムで、甚大な被害を引き起こす可能性を持つ。
Continue reading “Linux Kernel の脆弱性 CVE-2023-52447 に PoC:コンテナ・エスケープの可能性”Cacti Network Monitoring Tool Patches Security Flaws, Including RCE Vulnerability
2024/10/07 SecurityOnline — 人気の OSS ネットワーク監視ツール Cacti がリリースした、緊急セキュリティ・アップデートには、深刻なリモート・コード実行 (RCE) などの、複数の脆弱性への対処が含まれる。Cacti の最新バージョン 1.2.28 では、攻撃者に対してシステム侵害を許す可能性にある、4件の脆弱性が修正されている。
Continue reading “Cacti の脆弱性 CVE-2024-43363 などが FIX:ログ・ポイズニングによる RCE の可能性”CSP Bypass: A New Open-Source Tool for Ethical Hackers to Overcome Content Security Policies
2024/10/07 SecurityOnline — Hacker Hideout の創設者であり、著名なセキュリティ研究者でもある Renniepak が、CSP Bypass というオープンソース ・ツールを立ち上げた。このツールは、倫理的ハッカーやセキュリティ研究者を支援するために、制限的な Content Security Policies (CSPs) を特定/回避するように設計されている。これらのポリシーで保護されている Web サイトにおいて、クロス・サイト・スクリプティング (XSS) の脆弱性を倫理的に悪用する場合に、特に有効である。
Continue reading “CSP Bypass という OSS ツール:法的ガイドラインに従う倫理ハッカーのために・・・”Redis Patches for Multi Flaws, Including Potential RCE (CVE-2024-31449)
2024/10/06 SecurityOnline — データベース/キャッシュ/メッセージブローカーとして人気を博している、オープンソースのデータ構造ストア Redis に、3件の新たな脆弱性が発見された。これらの欠陥によるリスクは、リモートコード実行 (RCE) からサービス拒否 (DoS) にいたるまでの多岐にわたり、パッチを適用せずに放置するとシステムに深刻な被害が生じる可能性がある。特定された3件の脆弱性は CVE-2024-31449/CVE-2024-31227/CVE-2024-31228 となるが、すでに Redis は修正バージョンをリリースしており、ユーザーに対して直ちにアップデートするよう呼びかけている。
Continue reading “Redis の脆弱性 CVE-2024-31449 などが FIX:RCE や DoS の恐れ”CVE-2024-47191: Critical Flaw in OATH-Toolkit PAM Module Could Lead to Root Exploits
2024/10/06 SecurityOnline — OATH-Toolkit の PAM モジュールに、深刻な脆弱性が発見された。この脆弱性により、One-Time Password (OTP) 認証を処理する際に、ルート・レベルのエクスプロイトに、システムがさらされる可能性が生じている。この脆弱性 CVE-2024-47191 は、SUSE のエンジニアである Fabian Vogt からの内部報告を受けた、SUSE Security Team の Matthias Gerstner により特定されたものだ。この脆弱性は、OTP ベースの2要素認証において、oath-toolkit を使用しているシステムに影響を及ぼすため、このモジュールを活用しているシステムでは深刻な脅威となる。
Continue reading “OATH-Toolkit の CVE-2024-47191 が FIX:PAM Module が引き起こす root 侵害に対応”Researchers Detail Ruby-SAML/GitLab Flaw (CVE-2024-45409) Allows SAML Authentication Bypass
2024/10/06 SecurityOnline — GitLab の認証システムに不可欠な、Ruby-SAML/OmniAuth-SAML ライブラリに存在する深刻な脆弱性 CVE-2024-45409 が、ProjectDiscovery の Harsh Jaiswal と Rahul Maini による最近の調査で明らかになった。この脆弱性の悪用に成功した攻撃者は、SAML レスポンス検証の弱点を用いて SAML 認証をバイパスし、不正アクセスを取得する可能性を手にする。
Continue reading “Ruby-SAML/GitLab の脆弱性 CVE-2024-45409 が FIX:認証バイパス PoC が登場”New Linux Malware ‘Perfctl’ Targets Millions by Mimicking System Files
2024/10/03 HackRead — Linux における 20,000 を超えるミスコンフィグを悪用して、世界中で数百万人を標的にする新たなマルウェアが、Aqua Nautilus のサイバー・セキュリティ研究者たちにより発見された。しばらくの間、このマルウェアは潜伏していたようだが、最近になって Nautilus のハニーポットを攻撃したことで、あらゆる Linux サーバを危険にさらす可能性の脅威として検出され、調査の機会が生まれた。
Continue reading “Perfctl という洗練された Linux マルウェアを検出:Polkit の CVE-2021-4043 を悪用?”Authd Vulnerability (CVE-2024-9313) Allows User Impersonation on Ubuntu Systems
2024/10/03 SecurityOnline — Ubuntu マシン上でセキュアな ID およびアクセス管理に使用される、認証デーモン Authd に深刻度の高い脆弱性 CVE-2024-9313 (CVSS:8.8) が発見された。この脆弱性を悪用する攻撃者は、侵害したシステム上で他のユーザーになりすまし、機密性の高いデータやリソースへの不正アクセスの可能性を手にする。
Continue reading “Ubuntu Authd の深刻な脆弱性 CVE-2024-9313 が FIX:su/sudo/ssh などを介した攻撃の恐れ”CVE-2024-47561: Critical Flaw in Apache Avro Java SDK Allows Arbitrary Code Execution
2024/10/03 SecurityOnline — Apache Avro Java SDK に、深刻なセキュリティ脆弱性 CVE-2024-47561 が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコード実行の可能性を得る。この脆弱性は、Avro Java SDK のバージョン 1.11.4 未満に影響を及ぼす。
Continue reading “Apache Avro Java SDK の脆弱性 CVE-2024-47561 が FIX:任意のコード実行の恐れ”Decade-Old Linux Vulnerability Can Be Exploited for DDoS Attacks on CUPS
2024/10/02 HackRead — サイバーセキュリティ研究者である Simone Margaritelli (別名 evilsocket) が、新たに発見した Linux の深刻な脆弱性について報告する。この欠陥は、10年前から存在しており、すべての GNU/Linux システムに影響を及ぼすものだ。なお、CVSS は 9.9 と評価されているが、CVE は割り当てられていない。この脆弱性の悪用に成功した攻撃者は、GNU/Linux システムの完全な制御が可能となり、Linux 上でのリモート・コード実行の可能性を得る。
Continue reading “10年前から存在していた Linux の脆弱性と CUPS 攻撃:CVSS 9.9 だが CVE はまだ無い”CVE-2024-47070: Critical Flaw in authentik Identity Provider Allows Authentication Bypass
2024/10/01 SecurityOnline — Identity Provider (IdP) と Single Sign-On (SSO) ソリューションを提供する authentik に、深刻なセキュリティ脆弱性 CVE-2024-47070 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、特定の条件下においてパスワード認証ポリシーのバイパスを可能にするため、影響を受けるバージョンを使用している組織にとって、深刻な懸念が生じている。
Continue reading “authentik の深刻な脆弱性 CVE-2024-47070 が FIX:認証バイパスが生じる恐れ”Multiple Vulnerabilities Discovered in PHP, Prompting Urgent Security Updates
2024/09/29 SecurityOnline — 先日に PHP プロジェクトが公開したセキュリティ勧告は、PHP の各バージョンに影響を及ぼす、複数の脆弱性に関するものだ。これらの脆弱性が悪用されると、ログの改ざん/任意のファイルのインクルード/データの整合性違反などの可能性が生じる。すべての PHP ユーザーに推奨されるのは、最新の修正版へと直ちにシステムを更新することだ。
Continue reading “PHP の脆弱性 CVE-2024-9026 などが FIX:データ漏洩/システム侵害などが生じる恐れ”2024/09/29 SecurityOnline — Filament Project が発表したのは、Laravel 開発で人気を誇る full-stack コンポーネント・コレクションに存在する、脆弱性 CVE-2024-47186 に関するセキュリティ・アドバイザリである。この XSS (Cross-Site Scripting) 脆弱性は、検証されていない ColorColumn/ColorEntry の値をレンダリングするアプリケーションに対して重大なリスクをもたらすものであり、バージョン v3.0.0~v3.2.114 に影響を及ぼす。
Continue reading “Filament の XSS 脆弱性 CVE-2024-47186 が FIX:直ちにアップデートを!”VLC Media Player Update Needed: CVE-2024-46461 Discovered
2024/09/26 SecurityOnline — 人気の VLC Media Player ユーザーに求められているのは、新たに発見された任意のコード実行などの脆弱性に対応するために、直ちにソフトウェアを更新することである。それを怠ると、悪意の攻撃により、プログラムがクラッシュする可能性が生じる。VLC の脆弱性 CVE-2024-46461 (CVSS:8.0) は、悪意を持って作成された MMS ストリームを処理する際に引き起こされる、整数オーバーフローに起因している。最も可能性の高い結果はクラッシュであるが、他の脆弱性と組み合わせることで、情報漏洩やリモート・コード実行につながる可能性があると、セキュリティ専門家たちは警告している。
Continue reading “VLC Media Player の脆弱性 CVE-2024-46461 が FIX:ただちにアップデートを!”Critical Flaws Discovered in Jupiter X Core WordPress Plugin Affecting Over 90,000 Sites
2024/09/26 SecurityOnline — WordPress の Jupiter X Core プラグインに存在し、90,000 を超える Web サイトに影響を及ぼすとされる、2つの深刻な脆弱性がセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功した未認証の攻撃者は、Web サイトの完全に制御や、管理者アカウント乗っ取りの可能性を手にする。
Continue reading “WordPress の Jupiter X Core プラグインの脆弱性が FIX:90,000 以上のサイトに影響”CUPS flaws enable Linux remote code execution, but there’s a catch
2024/09/26 BleepingComputer — オープンソース印刷システムである CUPS に存在する、複数のコンポーネントの一連の脆弱性を連鎖させることに成功したリモートの攻撃者が、特定の条件下において脆弱なマシン上で任意のコードを実行できることが、Simone Margaritelli により明らかにされた。ただし、それらの脆弱性 CVE-2024-47076 (libcupsfilters)/CVE-2024-47175 (libppd)/CVE-2024-47176 (cups-browsed)/CVE-2024-47177 (cups-filters) は、デフォルト・コンフィグレーションのシステムには影響しない。
Continue reading “Common UNIX Printing System (CUPS) の複数の脆弱性:現実での影響は限定的だが”Automattic blocks WP Engine’s access to WordPress resources
2024/09/26 BleepingComputer — WordPress.org は、WP Engine によるリソースへのアクセスを禁止し、このプラットフォームがホストする Web サイトへのプラグイン更新の配信を停止し、その影響を受けるユーザーに対して、他のホスティング・プロバイダーを選択するよう促している。WordPress の主張は、WP Engine が自社の利益のために WordPress のコア機能を変更しているというものだ。さらに、その行動に対する批判がユーザーに届かないようにするために、何千ものサイトでダッシュボードのニュース・ウィジェットをブロックしたことへの対応だと述べている。
Continue reading “WordPress と WP Engine の対立:セキュリティの問題へと拡大している”CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk
2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS:9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。
Continue reading “pgAdmin の脆弱性 CVE-2024-9014 (CVSS 9.9) が FIX:OAuth2 認証の問題”Severe Unauthenticated RCE Flaw (CVSS 9.9) in GNU/Linux Systems Awaiting Full Disclosure
2024/09/23 SecurityOnline — GNU/Linux などの全てのシステムに対して、潜在的な影響を与える重大なセキュリティ脆弱性が、著名なセキュリティ研究家である Simone Margaritelli により発見された。Canonical や Red Hat などの業界大手も存在を認める、認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2024-7589/CVE-2024-38063 は、CVSS スコア 9.9 と評価されている。
Continue reading “GNU/Linux システムの RCE 脆弱性 (CVSS 9.9):情報開示とパッチ適用までに実施すべきは?”CVE-2024-38286: Denial-of-Service Vulnerability Discovered in Apache Tomcat
2024/09/23 SecurityOnline — Apache Software Foundation が発表したセキュリティ・アドバイザリは、Tomcat で発見された脆弱性を悪用する攻撃者が、サービス拒否 (DoS) 攻撃を引き起こす可能性について警告するものである。この脆弱性 CVE-2024-38286 は “Important” と評価されており、すべてのプラットフォームにわたる、複数バージョンの Apache Tomcat に影響を及ぼす。
Continue reading “Apache Tomcat に脆弱性 CVE-2024-38286 が FIX:直ちにアップデートを!”WordPress Theme ‘Houzez’ and Associated Plugin Vulnerabilities Expose Thousands of Sites
2024/09/23 SecurityOnline — 広く使用されている WordPress テーマの Houzez と、関連プラグイン Houzez Login Register に、2つの重大な脆弱性が発見された。46,000 件を超える販売実績を誇る Houzez は、コンテンツと物件リストを効率的に管理する不動産会社にとって人気の選択肢である。この、新たに特定された脆弱性の悪用に成功した権限のないユーザーが、Houzez テーマを用いる WordPress サイトを乗っ取る可能性が生じており、リスクの広がりが懸念されている。
Continue reading “WordPress の Houzez テーマに深刻な脆弱性:大量のサイトが危殆化している”FreeBSD Issues Critical Security Advisory for CVE-2024-41721 (CVSS 9.8)
2024/09/22 SecurityOnline — FreeBSD の bhyve hypervisor に、深刻な脆弱性 CVE-2024-41721 (CVSS:9.8) が発見された。この脆弱性は、bhyve の USB エミュレーション機能に存在し、仮想 USB コントローラ (XHCI) 上のデバイス・エミュレーションが有効な場合に影響を及ぼすものだ。この脆弱性の悪用に成功した攻撃者は、悪意のコード実行を達成し、脆弱な FreeBSD システムに深刻な脅威をもたらす可能性を手にする。
Continue reading “FreeBSD の脆弱性 CVE-2024-41721 が FIX :任意のコード実行が生じる恐れ”PoC Exploit Released for CVE-2024-7965 Zero-Day Chrome Vulnerability
2024/09/18 SecurityOnline — 先日に発見された Chrome V8 JavaScript エンジンのゼロデイ脆弱性 CVE-2024-7965 に対する、技術的な詳細と PoC エクスプロイトが公開された。BI.ZONE の専門家が分析したところ、この重大な欠陥は、特に Android スマートフォンと macOS ラップトップにとって、深刻な脅威になり得るという。
Continue reading “Chrome V8 JavaScript のゼロデイ脆弱性 CVE-2024-7965:PoC エクスプロイトが提供”2024/09/18 SecurityOnline — 新たに公開されたセキュリティ・アドバイザリで The Document Foundation は、LibreOffice のドキュメント回復メカニズムに影響を及ぼす、深刻度の高い脆弱性 CVE-2024-7788 (CVSS:7.8) を明らかにした。この脆弱性が浮き彫りにするのは、破損した zip ベースのファイル形式を扱う場合の、ソフトウェアの “Repair Mode” 機能に重大なリスクがあることだ。LibreOffice のユーザーに対して強く推奨されるのは、このソフトウェアをバージョン 24.2.5/24.8.0 へとアップデートして脆弱性を修正し、システムを保護することである。
Continue reading “LibreOffice の脆弱性 CVE-2024-7788 が FIX:”Repair Mode” における欠陥を排除”Chrome 129 Patches High-Severity Vulnerability in V8 Engine
2024/09/18 SecurityWeek — Google は 9月17日に Chrome 129 のアップデートを発表し、外部から報告された6件を含む、9件の脆弱性に対するパッチを適用した。外部から報告された脆弱性の中で最も深刻なものは、深刻度 High に分類されている、V8 JavaScript エンジンにおけるタイプ・コンフュージョン脆弱性 CVE-2024-8904 だ。
Continue reading “Google Chrome 129 の緊急アップデート:CVE-2024-8904 など9つの脆弱性を FIX”Critical Flaws in Red Hat OpenShift: CVE-2024-45496 (CVSS 9.9) & CVE-2024-7387 (CVSS 9.1)
2024/09/17 SecurityOnline — ハイブリッド・クラウド・プラットフォームである Red Hat OpenShift に、2つの重大な脆弱性が発見された。同ツールは、その堅牢なセキュリティ機能で知られ、Global Fortune 500 の大部分を含む 3,000社以上の顧客から支持を得ている。OpenShift Container Platform のビルドプロセスを標的とする攻撃者に、これらの脆弱性 CVE-2024-45496/CVE-2024-7387 が悪用されると、任意のコマンド実行を許すことになり、影響を受けるノードでの権限昇格の可能性が生じる。
Continue reading “Red Hat OpenShift の重大な脆弱性 CVE-2024-45496/7387 が FIX:直ちにアップデートを!”Faraday: Open Source Vulnerability Management Platform
2024/09/16 SecurityOnline — 今日の複雑なサイバー・セキュリティ環境において、それぞれのセキュリティ・チームは新しい脆弱性を発見し、修復作業を効率的に管理するという、2つの課題に直面している。このギャップを埋める強力なソリューションとして登場した Faraday は、脆弱性管理/コラボレーション/一元化された自動化プラットフォームを提供している。
Continue reading “Faraday は OSS の脆弱性管理プラットフォーム:90種類以上のデータを統合”2024/09/15 SecurityOnline — Linux/Unix ベース・システムで人気のパッケージ・マネージャ Nix に、深刻度の高い脆弱性が発見された。脆弱性 CVE-2024-45593 (CVSS:9.1) の悪用に成功した攻撃者は、NAR のアンパック・プロセスを介して、任意のファイル・システムへの書き込みを可能にするという。その結果として、重大な脅威が発生する恐れがある。
Continue reading “NixOS の脆弱性 CVE-2024-45593 が FIX:不正なファイル操作が生じる恐れ”CVE-2024-45186: FileSender Vulnerability Poses Risk to User Credentials, Immediate Action Required
2024/09/13 SecurityOnline — 大容量ファイルを安全に送信するための機能を、認証済みのユーザーに提供する Web アプリ FileSender に、深刻なセキュリティ上の欠陥が確認された。このサーバ・サイド・テンプレート・インジェクションの脆弱性 CVE-2024-45186 の悪用に成功した未認証の攻撃者は、サーバの認証情報の取得を達成し、機密データやシステムを危険にさらす可能性を手にする。なお、この脆弱性は、セキュリティ研究者の Jonathan Bouman により発見されたものだ。
Continue reading “FileSender の脆弱性 CVE-2024-45186 が FIX:認証情報の漏えいなどが生じる恐れ”CVE-2024-8522 & CVE-2024-8529 (CVSS 10): LearnPress SQLi Flaw Leaves 90K+ WordPress Sites at Risk
20224/09/11 SecurityOnline — オンライン・コースの作成/管理ツールとして人気の WordPress LearnPress plugin に、2件の SQL インジェクション脆弱性 CVE-2024-8522/CVE-2024-8529 が発見された。これらの脆弱性は、CVSS スコア が最大値の 10.0 と評価されており、未認証の攻撃者に悪意の SQL クエリを許し、WordPress データベースに保存されている機密情報へのアクセスが生じるという。
Continue reading “WordPress LearnPress の脆弱性 CVE-2024-8522/8529 が FIX:CVSS 値は 10.0”FreeBSD Issues Urgent Security Advisory for CVE-2024-43102 (CVSS 10)
2024/09/09 SecurityOnline — FreeBSD プロジェクトが発行したのは、複数バージョンのオペレーティング・システムに影響を及ぼす、深刻な脆弱性 CVE-2024-43102 (CVSS:10.0) に関するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した攻撃者は、カーネル・パニックのトリガー/任意のコード実行などを達成し、システムの完全な侵害を引き起こす可能性を手にする。
Continue reading “FreeBSD の脆弱性 CVE-2024-43102 (CVSS 10):パッチ適用までの期間に行うべきことは?”
IoT OT Security News 
You must be logged in to post a comment.